我討厭病毒。它使系統癱瘓,使人頭大。盡管最終它總會被逮住并殺掉,但你知道,就在不遠處,變種的它或者它的同類又會在某個無法預知的時刻卷土重來。
解決的辦法很多,防火墻、IDS、殺毒軟件……還有打補丁。
是的,打補丁。這或許是最省錢(因為免費)同時也最有效的防范辦法,當然,也可能最麻煩(因為補丁太多)。但無論如何,請你務必相信,及時打補丁對于系統安全來說真的很重要。
其實,解讀病毒入侵原理就能明白。它們是“一組具有傳染性,能對系統進行非法破壞性操作的代碼”,終日游蕩在計算機系統周圍,一旦發現可乘之系統漏洞,即以迅雷不及掩耳之勢沖殺進來,開始肆無忌憚的破壞。
這里的關鍵詞是漏洞。它是病毒入侵的管道,只要我們及時給軟件打上補丁,就能感受到“made in微軟”的補丁與“made in黑客”的病毒混戰一處,結果往往以入侵者的失敗告終。來自市場的聲音同樣明確了補丁的江湖地位。聯想集團信息化發展部副總經理于奮飛說:“今年初到9月下旬,微軟共發布了39個補丁,我們打了20多個,到目前為止,即便是某個局部,也沒有感染任何病毒。當然,我們的系統早就安裝了多重防火墻與IDS,它們同樣功不可沒。”新浪網絡系統部總監陳力健指出:“防火墻只能防范老的攻擊類型,解決90%的問題,新出現的攻擊還得靠打補丁來解決。”如果用數字表達,啟明星辰積極防御實驗室安全咨詢工程師蔡雪飛說:“打補丁至少可以解決95%的安全問題。”中國民航邢毅峰說:“民航系統改建以后,我們一直非常重視打補丁的工作,它也真的很有效。”
被攻擊的“自由”
不及時打補丁是企業信息安全的一個病根。
在被各種各樣病毒光顧之后,相信大多數企業會意識到打補丁的重要性。但奇怪的是,每次病毒大規模發作,盡管相關的補丁程序此前早已發布,可被感染的機器又豈止百萬計?
此次采訪對象都指出,自己曾經遭受過病毒的攻擊,因此,對具有預防作用的補丁管理都非常重視。這讓我們不禁猜測,不及時打補丁的客戶難道過去沒有遭到攻擊?
在采訪中,很多人提到1999年的紅色代碼。網通信息管理部楊斌回憶說:“紅色代碼那次攻擊持續1~2天時間,網速很慢,我們當時沒經驗,不知道哪出了毛病。后來,一個正在幫助評測安全軟件的國外專家通過Sniffer分析軟件,發現問題出在微軟系統上。
后來查到了受感染的機器,將其端口關閉,殺毒,然后在全部系統上打上補丁,問題隨即消失。從那以后,我們開始重視補丁管理工作。”
可以肯定地說,受過攻擊的企業一定比沒受過的更關注補丁管理;生產系統與辦公系統緊密相連的企業必然比只有OA聯在公網上的重視補丁問題。
也許你的企業還沒有受到過病毒的攻擊,但千萬別高興得太早。因為某個已知或未知的病毒可能正潛伏在你的家門口,并在一個“風高夜黑”的晚上溜進你的系統。據美國《金融時報》報道,現在平均每20秒就發生一次入侵計算機網絡的事件;超過1/3的互聯網防火墻被攻破。也可能你的系統早已經被入侵了,只是你沒有察覺。像這次沖擊波病毒的本意是在你毫無知覺的情況下進入你的系統。但因為有一段代碼沒編好,才致使被感染的機器不斷重啟。
“我也很重視打補丁”,一個用戶說,“但是微軟的補丁實在太多了,它內部的補丁管理又混亂,誰能保證每次都及時打上。”這個理由很有力,只可惜起不到作用。對于迫在眉睫的補丁問題,作為公司的管理者和網管人員,是拿出補丁管理計劃的時候了。
管理員成了“補丁工”
多而繁的補丁程序,成為系統管理員的工作負擔。
國外一篇報道中說:“如果你打算詢問企業有關打補丁的意見,最好先穿上防彈衣,以免被回答砸死。”比起老美同行來,我覺得自己很幸運。因為被采訪的用戶大多“溫和”地說:“打補丁真的很煩人。”
微軟的補丁確實太多了,而且還在源源不斷地增加。聰明的系統管理員早就做好長期抗戰的準備。就說2003年前三個季度,微軟對外發布的補丁已經多達30多個;就在10月15日,微軟宣布了新的更新計劃后,發布了第一次月度安全更新,更新涉及五個Windows漏洞,其中四個被微軟認定為“嚴重”。
一家證券公司的系統管理員說,ISIS 5.0補丁太多了,我都快成全職補丁工了。另一個保險公司系統主管說:“僅黑色8月,我們已經做了2次升級工作,以前1年只要升級2~3次就可以了。”陳力健說:“現在,我們會把那些功能弱的、易出現問題的功能封閉掉,如IIS服務器。”除了數量繁多,微軟本身在補丁管理上也存在問題。因為內部協調不力,各個部門往往會針對一個漏洞,從不同角度開發出不同的補丁,這也給廣大用戶帶來不小的困擾。
也許有人會反對說,打補丁有那么難么?不就是按幾次確認鍵么!沒錯,打補丁是不難,但它確實很麻煩。對管理員來說,每一次新鮮補丁出籠,就需要上一次微軟網站,確定一下補丁的類別與等級;每打一次補丁,就得做一次測試,明確補丁程序是否與應用兼容;每打一次補丁,就得加一次班,監督安裝、確認、檢查。有時候,即便打了補丁,也有可能被擊中。微軟網站上說,如果改變系統配置,就得重新安裝補丁。現如今,打補丁似乎已經喧賓奪主,成了大部分系統管理員最重要的工作了。
不過比起被病毒感染,這些麻煩實在算不了什么。“每次病毒發作,雖然我安裝了補丁,但還是會心驚肉跳”,邢毅峰說。因為一旦感染,對系統管理員來說無疑是惡夢一場。到時候,一定是系統宕掉,業務停掉;客戶罵娘,領導罵你;然后是加班加點,幾宿不睡覺。一個管理員至今心有余悸,“上次,因為紅色病毒發作之前我們沒有打補丁,系統癱瘓了3天,這3天,我簡直沒怎么睡覺。不僅要一臺臺檢查機器,打上補丁,還得不斷修復被感染的文件。一個字:慘!”
打補丁的楊元慶
榜樣的力量是無窮的。
就像前文提到的,生產系統與辦公系統緊密相連的企業,通常會比較重視補丁管理等與系統安全密切相關的問題。從1997年就開始重視系統安全的聯想公司,現在因為整個公司上了ERP,每天網上交易額過億,因此對系統安全問題更為關注。就補丁管理問題,聯想信息化發展副總經理于奮飛簡單地概括成六個字:意識、系統、管理。
所謂意識,代表的是公司從上到下對系統安全問題的重視,同時也意味著良好的安全習慣。為了使全體員工養成良好的安全習慣,聯想公司作了明確規定,凡是不按照規定及時打補丁造成損失的,公司會對責任人進行相應的懲罰。懲罰分為5級,最嚴厲的一級是開除,甚至交送公安機關處理。因此,每一次系統需要統一安裝某個系統補丁時,全公司上至楊元慶,下至司機,都會及時為自己的終端打上補丁。
在嚴格的制度下,網絡管理部門要做的將是系統的安排工作。就補丁管理來看,聯想設定了幾個必要的步驟。一是從適當的途徑獲取補丁,聯想一般會通過三個途徑獲得補丁:1)到公開的站點獲取;2)微軟會定期通知;3)針對各種軟件產品,在售后服務合同中明確提出對方必須在出臺相關軟件補丁時,及時通知聯想。二是對補丁進行分類、測試,明確哪些補丁必須打,哪些補丁僅僅是某個部門必須打。“就微軟系統的補丁來說,截止到今天,今年已經公布了30幾個,ERP產品這四五年來公布的補丁也有100多個,我們不可能所有的補丁都打,也沒有必要,事實上,在100多個ERP補丁中,我們只采用了十幾個”,于奮飛說。就微軟系統補丁來說,主要分為兩大類:安全補丁和性能補丁。安全補丁又分幾個等級:危機、重要、高、中、低。于奮飛說:“我們會從根據廠商對補丁的說明,從中挑選出對系統安全重要的補丁最先進行測試。”對大多數企業來說,應用往往是在不同的系統平臺上開發的,有可能出現新打的補丁與應用不兼容的情況。因此,聯想搭建了一個小的網絡環境,將各種企業正在使用的應用軟件加載上去,對實際網絡進行模擬。然后,用1~2天的時間檢查補丁程序是否會帶來系統問題。確定沒有后,就可以將補丁程序自動或者通過E-mail分發下去。三是按照制定好的計劃分發。目前,聯想是通過自動分發工具,將補丁分發到相應的個人手中。四是執行和檢查。但凡制度,執行是關鍵。在審查這個環節,聯想一方面要求每個員工自查,另一方面通過軟件進行監控,如果到時間還沒有打上補丁,就會將這臺機器從網絡中剔除。在這樣的規定下,10000多人的公司,每次都能保證98%以上的完成率。
在整個過程中,從收到補丁通知到檢測完畢,通常會用1~2天的時間,然后再用3~5天的時間完成分發、安裝和檢查的工作。整個下來,不超過一個星期。相比較而言,分發、檢查是比較麻煩的環節。因此,聯想會采用各種自動的軟件工具。對于各種工具軟件,于奮飛說:“我們會使用工具,尤其在分發和檢查環節。這樣可以節省很多時間。但是,我們不會依賴工具。因為工具本身也可能帶來意想不到的問題,如不兼容問題。”目前,聯想設定2個兼職人員,負責300多臺服務器和上萬臺PC相關的補丁下載、測試、分發、檢查等工作。
補丁管理的灰色地帶
如果設定好了程序,補丁管理對任何人、任何企業來說,都算不上有難度的工作。但是,在這個看似簡單的工作中,也會存在很多意想不到的麻煩。
關于補丁管理要注意的事項,本報在這之前已經做過很多的相關報道,但相信仍有再次強調的必要。在接觸了大量用戶之后,啟明星辰的蔡雪飛說:“用戶要么對補丁管理缺乏足夠的重視,只是隨意、不定期去微軟網站查找補丁;要么只要有補丁,就不管三七二十一,照單全收,這都有可能使企業的系統管理工作陷入新的麻煩。如一個網絡企業因為沒有做好補丁的檢測工作,結果造成計算機啟動不了。”因此,在大規模安裝補丁前,有必要在小范圍的環境內對補丁進行測試。需要注意的是,模擬環境畢竟有局限性,在實施采用過程中,仍可能有個別問題查不出來。另外,時間也需要控制。有一個用戶說自己曾經用4天時間去測試一個補丁。蔡雪飛說:“這未免太長了,1~2天的時間完全可以了。”
在一些公司內部,總有一些員工會自作主張下載補丁程序,但這往往會打亂管理員的整體部署。因此,在制定相關的補丁計劃以前,管理員有必要對自己的系統做一個全面的了解。首先明確系統內共有多少臺機器,每臺機器目前的狀況怎樣,然后再對下載補丁程序等工作做出明確規定。有條件的,可以找一個安全評估公司,從整體上做好評估和計劃。
再有就是工具的使用。于奮飛說:“再好的工具,也不能保證打補丁工作全部到位,總會有掛一漏萬的情況,這個時候,還得需要人工參與。另外,在后期檢查環節發現問題后,仍需要人工作出處理。”另外,采用自動工具難免有一刀切的毛病,如果很多系統版本不同,可能會引發其他系統問題。
最后強調一點,管理員有必要首先明確企業對風險的容忍程度,再決定安裝補丁的工作。因為過于關注安全問題,必然導致生產效率降低。
再見,病毒
補丁當然不是防病毒的唯一手段,但如果你為系統安裝了防火墻,將網絡上的系統不斷按要求進行升級,使用最新的防病毒軟件,也許,還有一件令人愉快的事可以做,那就是和病毒說再見。
一個系統管理員的自白
我想我得感謝微軟,當然還有那些制造麻煩的黑客,沒有他們,我不可能在這么短(我去年才畢業)的時間內,體重成功從70公斤降到58公斤,另外,長期熬夜增加的黑眼圈也讓我看起來更成熟了。毫不夸張地說,做系統管理員僅僅大半年,與病毒抗爭的大小戰役少說我也參加了幾十次(包括給單個PC殺莫名其妙的病毒)。
第一次遇到病毒,就讓我有機會從默默無聞一躍成為公司知名人物,成為當月唯一被扣工資的人。我們是一家中型IT企業,每個月訪問我們網站的流量一直都很穩定,但今年1月份,我們的上網費一下竄升到幾千元,另外,不斷有員工報告說,公司網站登陸不上去。我有點暈(什么事都有第一次嘛),只好向一個在網絡安全公司工作的同學求救,才知道一個當時風頭很健的病毒叫SQL Slammer,它會不斷發送大量的數據包對網絡造成分布式洪流攻擊。我于是連夜上網查到有關信息,關閉了UDP 1434端口,從微軟網站上下載了補丁程序。第三天,問題消失了。
從那以后,我明白一個道理:打補丁一定得及時,不然,每月只能啃咸菜,還得加夜班。但是,我很快又發現,就我一個人努力不行。公司總有人不斷打電話騷擾我:“我的機器啟動不了了,快來幫我看看”。于是,你會經常看到我從八樓竄到九樓(我們公司分布在兩層樓上),又從九樓竄回來。比起上上下下跑樓梯,殺病毒的工作消耗真的很小。跑了2個月,見我的人都夸我清朗了不少。盡管如此,我還是有點煩。于是,我只好給全公司哥哥姐姐們發了一封言辭懇切的信,希望他們不要上網隨意下載軟件,并不要輕易打開陌生地址的郵件。這樣,就不會被莫名其妙的病毒感染,另外,一些必要的補丁程序,我會及時發給大家,請務必及時打上。
情況似乎有所好轉,但沒過多久,一切又依然故我,我又開始了跑樓梯生涯。我理解,大家都很忙,自然比較健忘。但我還是有些生氣了。看來我得采取強制措施。于是,從服務器端我關閉了所有與工作無關的端口,并從網上下載了自動補丁安裝工具。
一切好像都很順利,直到沖擊波他老人家大駕光臨。我必須聲明,在這次事件發生前后,我始終是盡職盡責的。事實上,在8月沖擊波發作之前,我已經積極做好了“抗戰”準備。我首先在服務器上安裝了Windows的網絡防火墻,同時,關閉了相關端口。因為公司正準備上一個新的應用系統,我臨時將給桌面系統打補丁的工作推遲了一天。但萬萬沒有想到的是,沖擊波全線發作第二天,我們公司全部機器出現了藍屏、重啟、藍屏的怪現象。我知道中招了,但我想不通,明明已經做了防御呀。沒辦法,只好請來網絡安全公司的人,折騰了半天,終于找到病原,原來公司一臺機器上不了局域網,自作主張用了撥號上網,成了被利用的宿主,連累了所有的系統。
當然,這次公司沒有扣我工資,但我依然郁悶。看來,我要跟公司領導鄭重談一談了,如果公司再不做有關安全的全體總動員,我也不想在這樣一個系統安全的活火山口上再當什么管理員了。
相關鏈接
鏈接一
安全機構公布最易受攻擊軟件清單
日前,一家安全組織發布了第四份年度最容易受到攻擊軟件清單。
SysAdmin審計網絡安全(SANS)協會的“20大缺陷”清單有二部分組成:微軟公司操作系統和軟件中的10大缺陷和Unix操作系統中的10大缺陷。SANS將微軟公司的Web服務器軟件━━IIS列為Windows系統中安全缺陷的罪魁禍首。在最近的一年中,微軟公司已經發布了半打多的與IIS相關的安全公告。在2001年7、8月份曾大規模爆發的紅色代碼病毒就利用了IIS中的一處安全缺陷。
Windows系統中最容易出現缺陷的其他軟件包括微軟公司的SQL Server數據庫軟件、Windows遠程調用服務。Unix系統中最容易出問題的其他軟件包括RPC服務和Apache Web服務器軟件。
在Unix類軟件中,BIND域名系統軟件(DNS)是問題最多的軟件。
鏈接二
微軟發表新安全對策 簡化補丁管理程序
美國當地時間10月9日,為了應對全球計算機用戶面臨的威脅,微軟將在今后數月內推出新的安全程序。
主要措施如下:
1、改善補丁管理程序、對策及技術
·簡化補丁發布等的程序、每月匯總發布一次補丁
·"Windows NT Workstation 4 Service Pack 6a"及"Windows 2000 Service Pack 2"的補丁支持延長至2004年6月底。
·2004年上半年公布免費更新工具"Software Update Services 2.0"。除Windows外,可以使用該工具下載、掃描并安裝"SQL Server"、"Office"、"Exchange Server"及"Visio"的補丁。
·2004年上半年之前將Windows 2000系列產品的補丁安裝程序匯總為兩大類。
2、開展全球規模的信息安全教育項目
后 記
盡管在本文中我們不停強調補丁管理的重要性,但是,我們心知肚明,補丁管理僅僅是企業系統安全的一個環節,絕不是全部更不是根本。之所以專門報道它,僅僅因為它是目前條件下最現實的辦法。用理想主義者的眼光看,自然是軟件沒有漏洞,讓病毒與黑客無的放矢最好。但是,現實的情況就是如此糟糕,對于網絡的個體使用者來說,除了盡量想辦法解決安全問題外,與供應商之間劃清責任同樣很重要。
據外電報道,2003年9月30日,一起訴訟案被加州法院受理,控告微軟公司的操作系統和應用軟件存在大量的漏洞,致使用戶隨時可能受到病毒和黑客的攻擊,從而造成系統的癱瘓。針對這起訴訟案,Gartner評價說:“微軟一般是在病毒發作前公布補丁,因此,很難勝訴。但是對計算機安全問題卻不無幫助。畢竟,在補丁發布前出現病毒的可能性也是有的。”《華爾街日報》報道說,“經驗豐富的黑客往往利用軟件開發商尚未發現的漏洞發動襲擊(初始襲擊)。因此,很多公司表示自己需要采用本質上與Windows完全不同的操作系統,才能分散風險。”這對微軟的競爭對手無疑是個好消息。需要提醒用戶的是,今后在制訂合同條款時,用戶應就及時發布和通知補丁的問題,對供應商做出明確規定。
68476636-8007)
